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10 La pr^sente invention conceme la s6curisation des systfemes Informatiques 
comportant au moins un module d' interpretation de code et des capacit6s 
m6moire de stockage du code k interpreter. 

Elle a plus particuli^srement pour objet de r6soudre les problemes de 
15 securisation des systdmes informatiques comportant au moins un modiite 
d'interpr6tation de code (un code etant d6fini comme un ensemble structui'6 
d'instructions) qu'on appellera siniplement "interpr6teur" par la suite 
(interpraeur materiel: micro-contr61eur, micro-processeur ou logiciel..: 
machine virtuelle) et des capacit6s m6moire de stockage du code h interpreter 
20 (ou "code interpret6"). 

Ledit code pent etre 6crit directement par un programmeur, etre obtenu de 
mani^re automatique (ce qu'on appellera la "generation de code") k partir d'un 
"code source" dans un langage qui est gen^ralement de plus haut niveau ou 
25 encore r6sulter d'xme combinaison de production automatique et 
d'interventions manuelles. 

D'une fa9on g6n6rale, on sait que la plupart des attaques recens6es contre de 
tels systemes informatiques reposent sur des mesures physiques (emission 
30 61ectromagn6tique, etc.) lors de rex6cution et n6cessitent la synchronisation 
avec le code interprets. En d'autres termes, il est nScessaire k I'.intrus de 
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determiner ^ quel moment Tinterpreteur se trouve en train d'executer certaines 
fonctionnalites du code. Parmi ces techniques les plus connues, on peut citer 
celles d6veIoppees pour retrouver une cle dans des algorithmes 
cryptographiques par espionnage passif de remission physique d'un circuit : 
5 les attaques de type SPA ("Simple Power Analysis") et DPA ("Differential 
Power Analysis") en particulier ont 6t6 utilis^es avec succfes pour decouvrir 
des cl6s DES ("Data Encryption Standard"). A titre d'exemple, sur une plate- 
forme Java embarquee ("Java Card", "JEFF", "J2ME", ... ), ces attaques 
peuvent 6tre utilis6es afin tfessayer d'obtenir des informations sur des secrets 
10 manipules par la machine virtuelle Java. Ces secrets peuvent concemer aussi 
bien les denudes confidentielles que le code Java lui-m6me. 

L'invention a done plus particulierement pour but de supprimer .ces 
inconv6nients. 

15 

EUe propose, a cet effet, de rendre plus difficiles les attaques reposant sur des 
mesures physiques et/ou necessitant une synchronisation avec le code 
interpr6t6 en introduisant des variantes dans les temps d'execution des codes 
interpr6t6s et les empreintes physiques (par exemple, et de maniere non 
20 exclusive, emission electromagnetique, etc.) mesurables. 

Selon rinvention, ce proc6d6 fait intervenir essentiellement deux types de 
variantes dans les temps d' execution des codes interpretes, de la maniere 
suivante : 

25 

- en provoquant k certains endroits d'un code interpr6te des d6rivations vers 
de nouvelles portions de code (qui n'appartiennent pas au code d'origine) 
destinees k compliquer la synchronisation et I'empreinte physique de 
I'execution, ou 

30 - en proposant une pluralite de mises en oeuvre de certaines instructions, 
chacune r6clamant un temps d*ex6cution different et/ou presentant une 
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- en provoquant h certains endroits d'un code interpr6te des derivations vers 
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empreinte physique difKrente et foumissant un r6sultat identique, en faisant 
en sorte que deux executions de cette instruction au sein d'un m6me code 
puissent 6tre r6alis6es par deux mises en oeuvre differentes. 

Ainsi, en introduisant des distorsions dans les temps d'execution et en 
modifiant I'effet physique de l'ex6cution, les deux types de variantes ci-dessus 
lendront plus difficile toute tentative de correlation entre les manifestations 
physiques observees d'un code interpret^ et ses fonctionnalit6s. 

Avantageusement, ce proced6 pennettra de rendre le code apparemment 
ex6cut6 different k chaque execution, et rendra done plus difficile la 
decouverte du code r6el de rapplication. 

Ce precede pourra faire intervenir : 

• pour la premiere variante : 

- deux modes d' introduction de "codes de derivation", A 

- quatre modes de realisation de "codes de derivation", .1 

• pour la deuxieme variante : 

- deux modes d'introduction de "mises en oeuvre multiples" de 
certaines instructions, 

- trois modes de realisation de "codes altematifs" h empreinte 
physique et duree variable. 

Concemant la premiere variante, le premier mode d'introduction de "codes de 
derivation" consiste k introdiiire une (ou des) instruction(s) specifique(s), 
dite(s) "de derivation" k certains endroits particuliers du code. Cette 
introduction peut etre realisee soit raanuellement, soit automatiquement lors de 
la generation de code. Dans le demia: cas, le generateur de code peut etre 
guide, pour produire ces instructions, par des annotations inserees par le 
programmeur dans le code source et permettant de designer des portions de 
code sensibles (par exemple, et de maniere non limitative, des procedures de 




empreinte physique diff6rente et foumissant un r&ultat identique, en faisant 
en sorte que deux ex6cutions de cette instruction au sein d'un mSme code 
puissent 6tre r6alisees par deux raises en oeuvre difKrentes. 

Ainsi, en introduisant des distorsions dans les temps d'ex6cution et en 
modifiant I'effet physique de Tex^cution, les deux types de variantes ci-dessus 
rendront plus difficile toute tentative de correlation entre les manifestations 
physiques observdes d'un code interpr6t6 et ses fonctionnalites. 

Avantageusement, ce proc6d6 permettra de rendre le code apparemment 
execute different k chaque execution, et rendra done plus difficile la 
decouverte du code r6el de I'application. 

Ce proc6de pourra faire intervenir : 
« pour la premiere variante : 

- deux modes d' introduction de "codes de derivation", 

- quatre modes de realisation de "codes de derivation", 
• pour la deuxieme variante : 

- deux modes d'introduction de "mises en oeuvre multiples" de 
certaines instructions, 

- trois modes de realisation de "codes altematifs" h empreinte 
physique et duree variable. 

Concemant la premiere variante, le premier mode d'introduction de "codes de 
derivation" consiste k introduire une (ou des) instruction(s) specifique(s), 
dite(s) "de derivation" h certains endroits particuliers du code. Cette 
introduction peut etre realisee soit manuellement, soit automatiquement lors de 
la generation de code. Dans le dernier cas, le generateur de code peut 6tre 
guide, pour produire ces instructions, par des annotations inserees par le 
programmeur dans le code source et permettant de designer des portions de 
code sensibles (par exemple, et de maniere non limitative, des procedures de 




chiffrement ou de verification de droits d'acc^s), L'execution d'une instruction 
de derivation par I'interpr^teur provoque im branchement vers un code de 
derivation associ6. Ce premier proc6d6 pent 6galement etre am61ior6 en 
attachant differents niveaux de s6curite aux instructions de derivation et en 
leur associant des codes de derivation d'autant plus complexes (ou defensifs 
vis k vis d'attaques de s6curite decrites ci-dessus) que leur niveau de securite 
est eleve. 

Concemant la premiere variante, le deuxifeme mode d'introduction de "codes 
de derivation" consiste k introduire le code de derivation dans la mise en 
oeuvre de rinteacpr6teur lui-mSme: entre l'execution de deux instructions 
cons6cutives du code, I'interpreteur execute le code de derivation, soil de 
manifere systematique, soit de manifere selective, soit de mani&re aldatoire. II 
peut par exemple ex^cuter ce code seulement lors de I'appel de certaines 
methodes (typiquement de bibliotheques, dites API "Application Program 
Interface") sensibles. 

L'avantage du premier mode est de permettre d'introduire les executions de 
code de derivation de mani^re selective, ce qui conduit k une moindre 
penalisation en terme de temps d'execution si le nombre de telles derivations 
est faible. II permet egalement la mise en oeuvre de politiques de securite dites 
"discretionnaires", c'est k dire k la discretion des applications. 

En revanche, le second mode sera plus avantageux si le nombre de derivations 
souhaitees est important car la mise en oeuvre du procede dans I'interpreteur 
lui-mSme pourra alors 6tre optimisee. Par ailleurs, il permet la mise en oeuvre 
de politiques de securite dites "mandataires" oil les contr61es sont imposes de 
maniere uniforme k toutes les applications. 

Les deux precedents susdits modes d'introduction necessitent I'introduction 
d'lm code de derivation. L'invention propose quatre modes pour realiser ces 




chiffrement ou de verification de droits d'accds). L'ex^ution d'une instruction 
de derivation par I'inteipreteur provoque un branchement vers un code de 
derivation associe. Ce premier proc^de peut 6galement Stre amelior6 en 
attachant differents niveaux de securit6 aux instructions de derivation et en 
leur associant des codes de derivation d'autant plus complexes (ou defensife 
vis k vis d'attaques de securite decrites ci-dessus) que leur niveau de securite 

est eieve. 



Concemant la premiere variante, le deuxidme mode d'introduction de "codes 
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methodes (typiquement de bibliothdques, dites API "Application Program 
Interface") sensibles. 

L'avantage du premier mode est de permettre d'introduire les executions de 
code de derivation de manidre selective, ce qui conduit k une moindre 
penalisation en terme de temps d'execution si le nombre de telles derivations 
est faible. II permet egalement la mise en oeuvre de politiques de securite dites 
"discretionnaires", c'est h dire h la discretion des applications. 

En revanche, le second mode sera plus avantageux si le nombre de derivations 
souhaitees est important car la mise en oeuvre du procede dans I'interpreteur 
lui-meme pourra alors 6tre optimisee. Par ailleurs, il permet la mise en oeuvre 
de politiques de securite dites "mandataires" od les contrdles sont imposes de 
manidre uniforme h toutes les applications. 

Les deux precedents susdits modes dMntroduction necessitent I'introduction 
d'un code de derivation. L'invention propose quatre modes pour realiser ces 




codes de derivation de maniere a ce qu'ils introduisent des variantes dans les 
temps d'ex6cution et les empreintes physiques mesurables. 

Concemant la premiere variante, le premier mode, de realisation de "codes de 
5 derivation" a empreinte physique et dur6e variable consiste a effectuer un 
calcul dit "superflu" dependant de donn^es cormues k rex6cution (qui peuvent 
done diff^rer k chaque execution), Ce calcul superflu doit 6tre sans ejBfet sur le 
r6sultat final de Tex^cution de rinterpr^teur. Un exemple simple de tel calcul 
est un test de parite d'une donn6e dynamique (connue i Tex^cution) qui pent 
10 conduire soit a xme action vide, soit a Taj out d'un 6I6ment d'une pile suivi de 
son retrait immediat. II est a noter que le nombre d'actions possibles n'est pas 
forc6ment iimitd k deux. Un nombre d'actions possible important conduira a 
une variabilit6 importante dans le temps d'ex6cution et Tempreinte physique 
du code de derivation. 

15 

Le deuxifeme mode de realisation de "codes de derivation" ameiiore le premier 
mode en le dotant d'un tirage aleatoire d'une donnee suppiementaire lors de 
I'execution du calcul superflu, ladite donnee suppiementaire etant utilisee dans 
le calcul effectue par le code de derivation (par exemple dans un test dudit 
20 code). Ce tirage aleatoire ajoute un nouvel element variable et rend encore 
moins previsible le temps d'execution et Tempreinte physique du code de 
derivation. 

Le troisieme mode de realisation de "codes de derivation" ameiiore Tefficacite 
25 des deux precedents en rempla9ant le test permettant de decider de Taction 
suivante par un branchement dans un tableau dit d'indirection, c'est-^-dire 
contenant les adresses des actions possibles, k un iadice calcuie k partir des 
elements variables (donnee dynamique et/ou resultat d'lm tirage aleatoire). 

30 Le quatrieme mode de realisation de "codes de derivation" ameiiore le premier 
mode (et par consequent les trois autres) en considerant un calcul superflu qui. 




codes de derivation de maniere k ce qu'ils introduisent des variantes dans les 
temps d'ex^cutioh et les empreintes physiques mesurables. 

Concemant la premiere variante, le premier mode de realisation de "codes de 
5 ddrivation" k empreinte physique et dur^e variable consiste a effectuer un 
calcul dit "superflu" dependant de donn^es connues k rex6cution (qui peuvent 
done diff<5rer k chaque execution). Ce calcul superflu doit 6tre sans effet sur le 
r^sultat final de l'ex6cution de rinterpr6teur. Un exemple simple de tel calcul 
est un test de parite d'une donn6e dynaraique (connue k Tex^cution) qui pent 
10 conduire soit a une action vide, soit a I'ajout d'lm 616ment d'une pile suivi de 
son retrait immediat. II est k noter que le nombre d'actions possibles n'est pas 
forcement limits k deux. Un nombre d'actions possible important conduira k 
une variability importante dans le temps d'execution et I'empreinte physique 
du code de derivation. 

15 

Le deuxieme mode de realisation de "codes de derivation" ameiiore le premier 
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25 des deux precedents en rempla9ant le test permettant de decider de I'action 
suivante par un branchement dans un tableau dit d'indirection, c'est-a-dire 
contenant les adresses des actions possibles, k un indice calcuie a partir des 
elements variables (donnee dynamique et/ou resultat d'un tirage aieatoire). 
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mode (et par consequent les trois autres) en considerant un calcul superflu qui, 



tout en restant sans eflfet sur le r^sultat final, presente les caract6ris1iques 
extemes (empreinte physique) d'un calcul sensible particulier (par exemple 
chif&age ou d6chif&age) sans rapport avec le code effectif de I'application. Un 
tel calcul superflu permet de tromper un attaquant qui tenterait de d6duire des 
secrets en mesurant I'effet physique de rex6cution de I'application. Un tel 
proc6d6 peut 6tre qualifie de "leurre logiciel" puisqu'il a pour objet d'induire 
en erreur les attaquants en leur faisant croire a la presence dudit calcul sensible 
dans le code effectif de I'application. Ce mode peut dtre r6alis6 simplement en 
mettant en oeuvre le calcul soosible en question sans retenir son r6sultat. 

Concemant la deuxieme variante, le premier mode d'introduction de "mises en 
oeuvre multiples" de certaines instructions consiste k enrichir I'ensemble des 
instructions reconnues par rinterpr6teur avec une plurality de mises en oeuvre 
pour une instruction donn6e. Ces mises en oeirvre seront r6alis6es de fa9on k 
avoir des empreintes physiques et des temps d'ex6cution differents tout en 
produisant un rdsultat identique. KTimporte laquelle de ces mises en oeuvre 
peut 6tre utilis6e indifKremment dans le code. Cette utilisation peut 6tre ■ 
effectu6e soit manuellement, par programmation, soit automatiquement lors de 
la g6n6ration de code. Dans ce demier cas, le g6n6rateur de code peut 8tre 
guid6, pour produire ces instructions, par des aiinotations ins6r6es par le 
programmeur dans le code source et permettant de designer des portions de 
code sensibles (par exemple, et de manidre non limitative, des procedures de 
chiffrement ou de verification de droits d'accds). Ce premier mode peut 
dgalement 6tre am61ior6 en attachant difiKrents niveaux de s6curit6 aux mises 
en oeuvre d'instructions et en leur associant des mises en oeuvre d'autant plus 
complexes (ou defensives vis k vis .d'attaques de s6curit6) que leur niveau de 
s6curite est eieve. 



Concemant la deuxidme variante, le deuxidme mode d'introduction de "mises 
en oeuvre multiples" de certaines instructions consiste k inclure dans la mise ctl 




tout en restant sans effet sur le r6sultat final, pr^sente les caracteristiques 
extemes (empreinte physique) d'un calcul sensible particulier (par exemple 
chiffrage ou ddchififrage) sans rapport avec le code effectif de I'application. Un 
tel calcul superflu permet de tromper un attaquant qui tenterait de ddduire des 
5 secrets en mesurant I'effet physique de rex6cution de I'application. Un tel 
proc6d6 pent 6tre qualifi6 de "leurre logiciel" puisqu'il a pour objet d'induire 
en erreur les attaquants en leur faisant croire k la presence dudit calcul sensible 
dans le code effectif de I'application. Ce mode peut 6tre r6alis6 simplement en 
mettant en oeuvre le calcul sensible en question sans retenir son r^sultat, 

10 

Concemant la deuxidme variante, le premier mode d'introduction de "mises en 
ceuvre multiples" de certaines instructions consiste k enrichir I'ensemble des 
instructions reconnues par l'interpr6teur avec une plurality de mises en oeuvre 
pour une instruction donn6e. Ces mises en oeuvre seront realis6es de fapon k 

15 avoir des erapreintes physiques et des temps d'ex^cution diff^rents tout en 
produisant un r6suitat identique. ISPimporte laquelle de ces mises «i oeuvre 
peut 6tre utilis6e indifKremment dans le code. Cette utilisation peut 6tre 
effectu^e soit manuellement, par programmation, soit automatiquement lors de 
la g6n6ration de code. Dans ce demia- cas, le g6n&^teur de code peut 6tre 

20 guid6, pour produire ces instructions, par des annotations ins6rees par le 
programmeur dans le code source et permettant de designer des portions de 
code sensibles (par exemple, et de manidre non limitative, des procedures de 
chif&ement ou de verification de droits d'accfes). Ce premier mode peut 
egalement 6tre am61ior6 en attachant difKrents niveaux de s6curit6 aux mises 

25 en oeuvre d'instructions et en leur associant des raises en oeuvre d'autant plus 
complexes (ou defensives vis k vis d'attaques de securite) que leur niveau de 
s6curite est eieve. 

Concemant la deuxidme variante, le deuxidme mode d'introduction de "mises 
30 en ceuvre multiples" de certaines instructions consiste h inclure dans la mise en 




OBUvre elle-meme de rinstruction un branchement d, une portion de code 
altematif qui d6tenninera dynamiquement la mise en oeuvre k ex6cuter. 

Uavantage du premier mode est de minimiser le surcoilt en terme de temps 
5 d'ex6cution puisque le choix de la mise en oeuvre d'instruction k appliquer est 
d6termin6 prealablement k Tex^cution. II permet egalement la mise en oeuvre 
de politiques de s6curite dites "discretionnaires", c*est k dire k la discretion des 
applications. 

10 L'avantage du second mode est de compliquer encore les attaques nteessitant 
une synchronisation avec le code puisque deux executions cons6cutives de la 
meme insti-uction (au meme emplacement dans le code) seront susceptibles de 
prendre des temps d'execution dijBKrents et d'offrir des empreintes physiques 
diflEerentes. Par ailleurs, ce second mode permet la mise en oeuvre de. 

15 politiques de security dites "mandataires" ou les controles sont imposes de^;^ 
manifere uniforme a toutes les. applications. 

Les deux modes ne s'excluent pas mutuellement : une realisation pent inclure, 
une multiplicity de mises en oeuvre pour une instruction donnee, certaines 
20 d'entre elles (ou toutes) etant mises en oeuvre par un branchement k une 
portion de code altematif determinant dynamiquement la mise en oeuvre k 
ex6cuter. 

Le susdit deuxifeme mode de la deuxidme variante ndcessite Tintroduction d'un 
25 code altematif associe k une instruction. L*invention propose trois modes pour 
realiser ce code altematif de manifere k ce qu'il introduise des mises en oeuvre 
dijSerentes dans les temps d'execution et Tempreinte physique mesur6e. 

Concemant la deuxi^me variante, le premier mode de realisation de "codes 
30 altematiJfe" k empreinte physique et dur6e variable consiste k proposer une 
plurality de mises en oeuvre difKrentes de Tinstraction et de conditionner le 




oeuvre elle-m6me de rinstruction un branchement k une portion de code 
altematif qui d6terminera dynamiquement la mise en oeuvre a ex6cuter. 

L'avantage du premier mode est de minimis er le surcout en terme de temps 
5 d'execution puisque le choix de la mise en oeuvre d'instruction d appliquer est 
determine pr6alablement k I'ex^cution. II permet 6galement la mise en oeuvre 
de politiques de s6curit6 dites "discretionnaires", tfest k dire a la discretion des 
applications. 

10 L'avantage du second mode est de compliquer encore les attaques ndcessitant 
une synchronisation avec le code puisque deux executions consecutives de la 
mSme instruction (au m6me emplacement dans le code) seront susceptibles de 
prendre des temps d'ex6cution differents et d'offrir des empreintes physiques 
differentes. Par ailleurs, ce second mode permet la mise en oeuvre de 

15 politiques de s6curite dites "mandataires" ou les controles sont imposes de 
m^idre uniforme k toutes les applications- 

Les deux modes ne s*excluent pas mutuellement : une realisation peut inclure 
une multiplicite de mises en oeuvre pour une instruction donn^e, certaines 
20 d'entre elles (ou toutes) 6tant mises en oeuvre par un branchement a une 
portion de code altematif determinant dynamiquement la mise en oeuvre k 
executer. 

Le susdit deuxidme mode de la deuxieme variante n6cessite Tintroduction d'un 
25 code altematif associ6 k une instruction. L'invention propose trois modes pour 
realiser ce code altematif de maniere a ce qu'il introduise des mises en oeuvre 
differentes dans les temps d'execution et Tempreinte physique mesur^e. 

Concemant la deuxidme variante, le premier mode de realisation de "codes 
30 altematifs" k empreinte physique et duree variable consiste k proposer une 
pluralite de mises en oeuvre differentes de Tinstmction et de conditionner le 
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choix de la version executee k un test dynamique, c'est a dire dependant de 
doim6es connues k rex6cution. Un exemple simple de tel calcul est un test de 
parit6 d'une donn6e dynamique (connue a Tex^cution). Un nombre de mises en 
oeuvre important conduira k une variability importante dans le temps 
5 d'ex6cution et dans Tempreinte physique du code altematif. 

Le deuxieme mode de realisation de "codes altematifs" am^liore le premier 
mode en le dotant dW tirage aleatoire d^une donn6e qui est ensuite utilisee 
pour la realisation du test conduisant au choix dynamique de la version 
10 executee. Ce tirage aleatoire ajoute un nouvel element variable et rend encore 
moins pr^visibles le temps d'execution et Tempreinte physique du code 
altematif. 

Le troisieme mode de realisation de "codes altematifs" am61iore Tefficacite 
15 des deux precedents en rempla9ant le test pennettant de decider de la version 
choisie par un branchement dans un tableau d^indirection (contenant les 
adresses des versions disponibles) a un indice calcuie a partir des elements 
variables (donnee dynamique et/ou resultat d'un tir^e aleatoire). 

20 Ainsi, T introduction de variantes dans les temps d' execution des codes 
interpretes et done les empreintes physiques permet de rendre plus difficiles 
les attaques reposant sur les dites empreintes physiques, en faisant en sorte 
qu*une action codee dans Timpiementation de T application puisse avoir des 
signatures eiectroniques dififerentes et se produisant k des temps d' execution 

25 variables. 

L' implementation des susdits codes interpretes sera effectuee sur des modules 
d' interpretation de code logiciel comme des machines virtuelles de la famille 
JAVA, et sur des modules d* interpretation de code physique du type micro- 
3 0 contrSleur ou micro-processeur. 




choix de la version executfe k un test dynamique, c'est k dire dependant de 
donn^es connues h Tex^cution. Un exemple simple de tel calcul est un test de 
parite d'une donnee dynamique (connue a Texecution), Un nombre de mises en 
oeuvre important conduira a une variabilite importante dans le temps 
5 d'execution et dans Tempreinte physique du code altematif. 

Le deuxieme mode de r6alisation de "codes altematifs" am61iore le premier 
mode en le dotant d'un tirage al6atoire d*une donn6e qui est ensuite utilis^e 
pour la realisation du test conduisant au choix dynamique de la version 
10 exdcutee. Ce tirage al6atoire ajoute un nouvel Element variable et rend encore 
moins pr6visibles le temps d'ex^cution et Tempreinte physique du code 
altematif. 

Le troisidme mode de realisation de "codes altematifs" ameliore Tefficacite 
15 des deux pr6c6dents en rempla9ant le test permettant de decider de la version 
choisie par un branchement dans un tableau d'indirection (contenant les 
adresses des versions disponibles) k un indice calcule k partir des 61ements 
variables (donnee dynamique et/ou r^sultat d'un tirage aleatoire). 

20 Ainsi, Tintroduction de variantes dans les temps d'execution des codes 
interpr^tes et done les empreintes physiques permet de rendre plus difficiles 
les attaques reposant sur les dites empreintes physiques, en faisant en sorte 
qu'une action codec dans T implementation de Tapplication puisse avoir des 
signatures electroniques difKrentes et se produisant k des temps d'ex6cution 

25 variables. 

LMmplementation des susdits codes interpr6t6s sera effectu6e sur des modules 
d* interpretation de code logiciel comme des machines virtuelles de la famille 
JAVA, et sur des modules d'interpr6tation de code physique du type micro- 
30 controleur ou micro-processeur. 




REVENDICATIONS 

1. Precede de s6curisation des systemes inforaiatiques comprenant au 
moins un module d'interpretation de code et des capacites memoire de 

5 stockage du code interprets prSsentant des empreintes physiques mesurables, 
caracteris6 en ce que dans le but de rendre plus difficiles les attaques reposant 
sur des mesures physiques et/ou nScessitant une synchronisation avec le susdit 
code interprets, il consiste k introduire des variantes dans les temps 
d'ex6cution du codes interprets et de ses empreintes physiques mesurables. 

10 

2. ProcSde selon la revendication 1, 

caractSrisS en ce qu'il comprend des derivations vers de nouvelles portions de 
code, dits "codes de derivation", qui n'appartiennent pas au code d'origine. 

15 3. Procede selon la revendication 1, 

caracterisS en ce qu'il comprend une pluralite de mises en oeuvre de certaines 
instructions, chacxme rSclamant un temps d'execution different, et/ou 
presentant une empreinte physique diffSrente et foumissant un resultat 
identique. 

20 

4. ProcSdS selon la revendication 2, 

caracterise en ce quMl comprend un premier mode d' introduction de "codes de 
dSrivation" consistant a introduire une (ou des) instruction(s) spScifique(s) k 
certains endroits particuliers du code, soit manuellement soit automatiquement 
25 lors de la gSneration du susdit code, 

5. ProcSdS selon la revendication 4, 

' caractSrisS en ce que les instructions de derivation sont associSes k des 
niveaux de sScuritS qui correspondent k des degres de complexity de leur code 
• 30 de derivation, les plus complexes etant considSres comme les plus dSfensifs 



REVENDICATIONS 



L Proc6d6 de s6curisation des systemes informatiques comprenant au 
moins un module d'interpretation de code et des capacites m^moire de 
5 stockage du code interprete pr6sentant des empreintes physiques mesiirables, 
caracteris6 en ce que dans le but de rendre plus difficiles les attaques reposant 
sur des mesures physiques et/ou necessitant une synchronisation avec le susdit 
code interpret^, il consiste k introduire des variantes dans les temps 
d' execution du codes interpr6t6 et de ses empreintes physiques mesurables. 

10 

2. Procede selon la revendication 1, 
caracterise en ce qu'il comprend des derivations vers de nouvelles portions de 
code, dits "codes de derivation", qui n'appartiennent pas au code d'origine. 

15 3 . Proc6de selon la revendication 1 , 

caracterise en ce qu'il comprend une pluralit6 de mises en oeuvre de certaines 
instructions, chacune r6clamant un temps d'execution different et/ou 
presentant une empreinte physique differente et foumissant un rdsultat 
identique. 

20 

4. Procede selon la revendication 2, 

caracterise en ce qu'il comprend un premier mode d' introduction de "codes de 
derivation" consistant k introduire une (ou des) instruction(s) specifique(s) k 
certams endroits particuliers du code, soit manuellement soit automatiquement 
25 lors de la generation du susdit code. 

5. Precede selon la revendication 4, 

caracterise en ce que les instructions de derivation sont associees a des 
niveaux de securite qui correspondent k des degres de complexite de leur code 
30 de derivation, les plus complexes etant consideres comme les plus defensifs 




vis k vis d'attaques de s6curite necessitant une synchronisation avec le code 
et/ou une mesure de son empreinte physique, 

6. Proc6d6 selon la revendication 2, 

5 caract6ris6 en ce qu'il comprend un deuxifeme mode d'introduction de "codes 
de d6rivation" consistant k introduire le code de derivation dans la mise en 
oeuvre de Tinterpr^teur lui-meme. 

7. Proc6d6 selon la revendication 6, 

10 caracterise en ce que le code de derivation introduit dans la mise en ceuvre de 
Pinteipreteur est execute soit de mani^re syst6matique par Tinterpr^teur, soit 
de mani^re selective, soit de maniere al6atoire. 

8^ Proc6d6 selon la revendication 2, 
15 caracteris6 en ce qu41 comprend un premier mode de realisation de "codes de 
derivation" consistant a effectuer un calcul dit "superflu" d6pendant de 
donnees connues k T execution. 

9. Proc6d6 selon la revendication 2, 

20 caract6ris6 en ce qu'il comprend un deuxieme mode de realisation de "codes 
de derivation" consistant k doter le susdit premier mode d'un tirage aleatoire 
d*\me donn^e supplementaire lors de I'execution du calcul superflu, ladite 
donnee supplementaire etant utilis6e dans le calcul effectue par le code de 
derivation* 

25 

10. Precede selon la revendication 8, 

caracterise en ce que le susdit premier mode de realisation de "codes de 
derivation" est ameiiore en attachant differents niveaux de securite aux mises 
en oeuvre d'instructions et en leur associant des mises en ceuvre d'autant plus 
30 complexes. 
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vis a vis d'attaques de securite necessitant une synchronisation avec le code 
et/ou line mesure de son empreinte physique. 

6. Procede selon la revendication 2, 

5 caracteris6 en ce qu'il comprend un deuxieme mode d' introduction de "codes 
de derivation" consistant k introduire le code de derivation dans la mise en 
oeuvre de Tinterpreteur lui-m6me. 

7. Procede selon la revendication 6, 

10 caracterise en ce que le code de derivation introduit dans la mise en oeuvre de 
rinterpreteur est execute soit de maniere systematique par Tinterpreteur, soit 
de maniere selective, soit de maniere aieatoire. 

8. Procede selon la revendication 2, 

15 caracterise en ce qu'il comprend un premier mode de realisation de "codes de 
derivation" consistant k effectuer un calcul dit "superflu" dependant de 
donnees connues a 1' execution. 



20 caracterise en ce qu'il comprend un deuxieme mode de realisation de "codes 
de derivation" consistant k doter le susdit premier mode d'un tirage aieatoire 
d*une donnee suppiementaire lors de T execution du calcul superflu, ladite 
donnee suppiementaire etant utilisee dans le calcul effectue par le code de 
derivation. 



10. Precede selon la revendication 8, 
caracterise en ce que le susdit premier mode de realisation de "codes de 
derivation" est ameiiore en attachant differents niveaux de securite aux mises 
en oeuvre d'instructions et en leur associant des mises en oeuvre d'autant plus 
30 complexes. 



9. Procede selon la revendication 2, 



25 




1 1 . Proc6d6 selon la revendication 2, 



caracteris6 en ce qu'il comprend un troisifeme mode de realisation de "codes de 
derivation" consistant k remplacer dans les susdits premier et deuxidme mode 
le test permettant de decider de Taction suivante par un branchement dans un 
5 tableau d'indirection contenant les adresses des actions possibles k un indice 
calcule a partir des 616ments variables (donn6e dynamique et/ou resultat d'un 
tirage aleatoire). 

12. Proc6d6 selon la revendication 2, 

10 caracteris^ en ce quMI comprend un quatrifeme mode de realisation de "codes 
de derivation" consistant k effectuer un calcul superflu pr^sentant les 
caracteristiques extemes d'un calcul sensible particulier. 

1 3 . Precede selon la revendication 3, 
caracterise en ce qu'il comprend un premier mode d'introductipn d*une 
pluralite de mises en oeuvre de certaines instructions consistant a, enrichir 
r ensemble des instructions reconnues par Tinterpreteur avec ime pluralite de 
mises en oeuvre pour une instruction donnee ; les susdites instmctions sont 
effectuees soit manuellement, par programmation, soit automatiquement lors 
de la generation du code, 

14. Procede selon la revendication 3, 
caracterise en ce qu'il comprend un deuxieme mode d'introduction de la 
susdite pluralite de mises en oeuvre de certaines instructions consistant a 

25 inclure dans la mise en oeuvre elle-mSme de Tinstmction un branchement k 
une portion d*au moins un code altematif a empreinte physique et duree 
variable qui determine dynamiquement la mise en oeuvre a executer. 

15. Precede selon la revendication 14, 

30 caracterise en ce quMl comprend im premier mode de realisation du susdit 
code altematif consistant k proposer une pluralite de mises en oeuvre 




1 1. Proc6d6 selon la revendication 2, 

caract6ris6 en ce qu'il comprend un troisiferae mode de realisation de "codes de 
derivation" consistant h remplacer dans les susdits premier et deuxieme mode 
le test permettant de d6cider de Taction suivante par un branchement dans un 
tableau d'indirection contenant les adresses des actions possibles k un indice 
calcuie i partir des 616ments variables (donnfe dynamique et/ou r^sultat d'un 
tirage al6atoire). 

12. Proc6de selon la revendication 2, 

caracterise en ce qu'il comprend im quatridme mode de realisation de "codes 
de derivation" consistant k effectuer un calcul superflu presentant les 
caracteristiques extemes d'un calcul sensible particulier. 

13. Procede selon la revendication 3, 

caracterise en ce qu'il comprend un premier mode d'introduction d'une 
pluralite de mises en oeuvre de certaines instructions consistant k enrichir 
I'ensemble des instructions reconnues par I'interpreteur avec une pluralite de 
mises en oeuvre pour une instruction donnee ; les susdites instructions sont 
effectuees soit manuellement, par programmation, soit automatiquement lors 
de la generation du code. 

14. Procede selon la revendication 3, 

caracterise en ce qu'il comprend rni deuxieme mode d'introduction de la 
susdite pluralite de mises en oeuvre de certaines instructions consistant k 
inclure dans la mise en oeuvre elle-m6me de I'instruction un branchement a 
une portion d'au moins un code alternatif k empreinte physique et duree 
variable qui determine dynamiquement ia mise en oeuvre k executer. 

15. Procede selon la revendication 14, 

caracterise en ce qu'il comprend un premier mode de realisation du susdit 
code alternatif consistant k proposer une pluralite de mises en oeuvre 




diff^rentes de rinstruction et en conditionnant le choix de la version ex6cut6e k 
un test dynamique, c'est k dire dependant de donndes connues k Tex^cution. 

16. Precede selon la revendication 14, 
5 caract6ris6 en ce qu'il comprend un deuxifeme mode de realisation du susdit 
code altematif consistant k am61iorer le susdit premier mode de realisation de 
"codes alteraatifs" en le dotant d*un tirage al6atoire pour la realisation du test 
conduisant au choix dynamique de la version ex6cut6e. 

10 17. Precede selon la revendication 14, 

caract6rise en ce qu'il comprend un troisieme mode de realisation du susdit 
code altematif consistant a ameliorer les susdits premier et deuxifeme modes 
de realisation de "codes altematifs" consistant k remplacer le test permettant 
de decider de la version choisie par un branchement dans un tableau 

15 d*indirection contenant les adresses des versions disponibles a im,/indice 
calcuie k partir des elements variables. > 

1 8. Precede selon la revendication 1, 

caracterise en ce qu'il est impieraente sur un module d^interpretation de code 
20 logiciel dit machine virtuelle. 

19. Precede selon la revendication 18, 

caracterise en ce que ladite machine virtuelle est une plateforme Java. 

25 20. Precede selon la revendication 1, 

caracterise en ce qu'il est impiemente sur un module d'interpretation de cede 
physique. • 



30 



21. Precede selon la revendication 1, 
caracterise en ce qu'il est impiemente sur un systfeme embarqu6 et sur un 
module d'interpretation du type micro-controleur ou micro-precesseur. 




diffdrentes de I'instruction et en conditionnant le choix de la version ex6cut6e d, 
un test d3aiamique, c'est h dire d6pendant de donndes connues k I'execution. 

16. Precede selon la revendication 14, 
5 caract6ris6 en ce qu'il comprend un deuxi^me mode de r6alisation du susdit 
code alternatif consistant k am61iorer le susdit premier mode de realisation de 
"codes altematifs" en le dotant d'un tirage al^atoire pour la realisation du test 
conduisant au choix dynamique de la version execut^e. 

10 17. Proc6de selon la revendication 14, 

caracterise en ce qu'il comprend un troisifeme mode de realisation du susdit 
code alternatif consistant k ameiiorer les susdits premier et deuxidme modes 
de realisation de "codes altematifs" consistant k remplacer le test permettant 
de decider de la version choisie par un branchement dans im tableau 

15 d'indirection contenant les adresses des versions disponibles k un indice 
calcuie k partir des elements variables. 

18. Procede selon la revendication 1, 

caracterise en ce qu'il est implemente sur un module d'interpretation de code 
20 logiciel dit machine virtuelle. 

19. Procede selon la revendication 1 8, 

caracterise en ce que ladite machine virtuelle est une plateforme Java. 

25 20. Procede selon la revendication 1, 

caracterise en ce qu'il est implemente sur un module d'interpretation de code 
physique. 



21 . Procede selon la revendication 1, 
30 caracterise en ce qu'il est implemente sur un systeme embarque et sur un 
module d'interpretation du type micro-contrdleur ou micro-processeur. 
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